本頁面由 Cloud Translation API 翻譯而成。

收集 Archer IRM 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane，將 Archer IRM (整合式風險管理) 記錄檔擷取至 Google Security Operations。剖析器會先嘗試使用特定 Grok 模式，將 SYSLOG 資料結構化。如果模式不相符，系統會假設為鍵/值格式，擷取欄位並對應至統一資料模型 (UDM)，同時處理不同的事件類型和資料庫資源資訊。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows 2016 以上版本，或搭載 systemd 的 Linux 主機
如果透過 Proxy 執行，防火牆通訊埠已開啟
已授權「稽核記錄」功能的內部部署 Archer IRM 6.x 執行個體
Archer 控制台的管理員存取權

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
下載擷取驗證檔案。將檔案安全地儲存在要安裝 Bindplane 的系統上。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以系統管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Linux 安裝

開啟具有根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

其他安裝資源

如需其他安裝選項，請參閱安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

存取設定檔：
- 找出 config.yaml 檔案。通常位於 Linux 的 /etc/bindplane-agent/ 目錄，或 Windows 的安裝目錄。
- 使用文字編輯器 (例如 nano、vi 或記事本) 開啟檔案。

按照下列方式編輯 config.yaml 檔案：

receivers:
    tcplog:
        # Replace the port and IP address as required
        listen_address: "0.0.0.0:6514"

exporters:
    chronicle/chronicle_w_labels:
        compression: gzip
        # Adjust the path to the credentials file you downloaded in Step 1
        creds_file_path: '/path/to/ingestion-authentication-file.json'
        # Replace with your actual customer ID from Step 2
        customer_id: <customer_id>
        endpoint: malachiteingestion-pa.googleapis.com
        # Add optional ingestion labels for better organization
        log_type: 'ARCHER_IRM'
        raw_log_field: body
        ingestion_labels:

service:
    pipelines:
        logs/source0__chronicle_w_labels-0:
            receivers:
                - tcplog
            exporters:
                - chronicle/chronicle_w_labels

視基礎架構需求，替換通訊埠和 IP 位址。
將 <customer_id> 替換為實際的客戶 ID。
將 /path/to/ingestion-authentication-file.json 更新為您在「取得 Google SecOps 擷取驗證檔案」部分儲存驗證檔案的路徑。

重新啟動 Bindplane 代理程式，以套用變更

如要在 Linux 中重新啟動 Bindplane 代理程式，請執行下列指令：
```
sudo systemctl restart bindplane-agent
```
如要在 Windows 中重新啟動 Bindplane 代理程式，可以使用「服務」控制台，或輸入下列指令：
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

為 Archer IRM 稽核記錄設定 Syslog

在應用程式伺服器上開啟 Archer 控制台。
依序前往「Instance Management」>「All Instances」，然後按兩下目標執行個體。
在「一般」分頁中，找到「稽核」部分，然後選取「為這個執行個體啟用稽核記錄」核取方塊。
提供下列設定詳細資料：
- 主機名稱或 IP 位址：輸入 Bindplane 代理程式 IP 位址。
- 「Port」(通訊埠)：輸入 Bindplane 代理程式通訊埠編號 (例如 6514)。
- 「IP 版本」：選取「IPv4」。
- IP 流量方法：選取「TCP」。
按一下「測試連線」 (僅在選取 TCP 時可用)，確認連線狀態。
按一下 [儲存]。

UDM 對應表

記錄欄位	UDM 對應	邏輯
ArcherInstance	additional.fields.ArcherInstance.string_value	從原始記錄訊息的 `ArcherInstance` 欄位擷取。
ArcherLog		系統會剖析這個欄位，並將資料對應至其他 UDM 欄位。
ArcherVersion	additional.fields.ArcherVersion.string_value	從原始記錄訊息的 `ArcherVersion` 欄位擷取。
InputParameter	additional.fields.InputParameter.string_value	從原始記錄訊息的 `InputParameter` 欄位擷取。
LogSourceIdentifier		系統會剖析這個欄位，並將資料對應至其他 UDM 欄位。
MethodName	additional.fields.MethodName.string_value	從原始記錄訊息的 `MethodName` 欄位擷取。
OutputValues	additional.fields.OutputValue.string_value	從原始記錄訊息的 `OutputValues` 欄位擷取。
成功	security_result.summary	該值會設為 `Success:`，並與原始記錄訊息中的 `Success` 欄位值串連。
UserId	principal.user.userid	從原始記錄訊息的 `UserId` 欄位擷取。
使用者名稱	principal.user.user_display_name	從原始記錄訊息的 `UserName` 欄位擷取。
DB_DRIVER	target.resource.attribute.labels.db_driver.value	從原始記錄訊息的 `DB_DRIVER` 欄位擷取。
DB_HOST	target.resource.attribute.labels.db_host.value	從原始記錄訊息的 `DB_HOST` 欄位擷取。
DB_NAME	target.resource.attribute.labels.db_name.value	從原始記錄訊息的 `DB_NAME` 欄位擷取。
DB_PORT	target.resource.attribute.labels.db_port.value	從原始記錄訊息的 `DB_PORT` 欄位擷取。
DB_URL	target.resource.attribute.labels.db_url.value	從原始記錄訊息的 `DB_URL` 欄位擷取。
company_security_event_id	metadata.product_log_id	從原始記錄訊息的 `company_security_event_id` 欄位擷取。
create_date	metadata.event_timestamp	從 UNIX_MS 格式轉換為時間戳記。
databasename	target.resource.attribute.labels.db_name.value	如果沒有 `DB_NAME`，則從原始記錄訊息的 `databasename` 欄位擷取。
加密	security_result.detection_fields.encrypt.value	從原始記錄訊息的 `encrypt` 欄位擷取。
eventid	metadata.product_event_type	從原始記錄訊息的 `eventid` 欄位擷取。
eventtime	metadata.event_timestamp	從各種格式轉換為時間戳記。
integratedSecurity	security_result.detection_fields.integratedSecurity.value	從原始記錄訊息的 `integratedSecurity` 欄位擷取。
不適用	extensions.auth.type	USER_LOGIN 和 USER_LOGOUT 事件請設為 `AUTHTYPE_UNSPECIFIED`。
不適用	metadata.event_type	如果記錄是由 grok 模式剖析，請設為 `USER_RESOURCE_ACCESS`。如果 `security_event_name` 為 `User Login`，請設為 `USER_LOGIN`。如果 `security_event_name` 為 `User Logout`，請設為 `USER_LOGOUT`。如果 `security_event_name` 包含 `Security Events`，請設為 `USER_RESOURCE_ACCESS`。否則請設為 `GENERIC_EVENT`。
不適用	metadata.log_type	設為 `ARCHER_IRM`。
不適用	metadata.product_name	如果記錄是由 grok 模式剖析，請設為 `Archer`。否則請設為 `RSA`。
不適用	metadata.vendor_name	如果記錄是由 grok 模式剖析，請設為 `RSA`。否則請設為 `Archer`。
不適用	principal.ip	如果記錄是由 grok 模式剖析，請設為 `1.2.3.4`。
不適用	principal.port	如果記錄是由 grok 模式剖析，請設為從 `LogSourceIdentifier` 擷取的值。
不適用	security_result.action	如果 `Success` 是 `True`，則設為 `ALLOW`，否則設為 `BLOCK`。
不適用	target.resource.resource_type	如有任何資料庫相關欄位，請設為 `DATABASE`。
source_user	principal.user.userid	從原始記錄訊息的 `source_user` 欄位擷取。
target_user	target.user.userid	從原始記錄訊息的 `target_user` 欄位擷取。
trustServerCertificate	security_result.detection_fields.trustServerCertificate.value	從原始記錄訊息的 `trustServerCertificate` 欄位擷取。
version	metadata.product_version	從原始記錄訊息的 `version` 欄位擷取。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。